Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Wie man mit Mathematik eine Bank übernehmen kann (und warum defensive Architekturen eine gute Idee sind)

In diesem Vortrag stelle ich ein Fallbeispiel aus einem vergangenen Sicherheitstest vor, in dem wir falsch verwendete Kryptografie ausnutzen konnten, um ein internes Tool bei einem Zahlungsdienstleister zu übernehmen.

An diesem Beispiel lässt sich hervorragend der Vorteil defensiver Architekturen mit verschiedenen Schutzschichten illustrieren - wir werden also nicht nur über die Sicherheitslücke selbst sprechen, sondern auch über die Architekturentscheidungen, die sie so verheerend gemacht haben, und welche alternativen Ansätze den Angriff eingegrenzt hätten.

Am Ende der Vortrags versteht ihr die Risiken von unauthentifizierter Verschlüsselung und die Vorteile defensiver Architekturen.

Vorkenntnisse

Es ist kein detailliertes Vorwissen über Kryptografie erforderlich, alle relevanten Informationen werden im Vortrag vorgestellt. Ein grundlegendes Interesse reicht aus.

Lernziele

Die Teilnehmer:innen werden sowohl etwas über Kryptografie und die nicht offensichtlichen Risiken ihrer Verwendung lernen, als auch ein plastisches Beispiel erhalten, wie hilfreich defensives Programmieren und "defense in depth" in der Praxis sein können.

Speaker

 

Max Maaß
Max Maaß Max Maass arbeitet im Security-Team bei der iteratec GmbH und beschäftigt sich dort mit praktischen Sicherheitstests, Bedrohungsanalysen und Architektur-Reviews für Softwareentwicklungsprojekte. Dort beteiligt er sich auch an der Weiterentwicklung der OWASP secureCodeBox. Vorher promovierte er an der TU Darmstadt im Bereich IT-Sicherheit.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden